Partager via


Autorisations dans les déploiements hybrides Exchange

Le Exchange Online dans Microsoft 365 ou Office 365 organization est basé sur Exchange Server et, comme pour les organisations locales, il utilise également les Access Control basées sur les rôles (RBAC) pour contrôler les autorisations. Les administrateurs disposent des autorisations d’utilisation des groupes de rôles de gestion alors que les utilisateurs finaux disposent des autorisations d’utilisation des stratégies d’attribution de rôle de gestion.

Pour plus d’informations sur les autorisations dans Exchange Online et Exchange local, consultez : Autorisations Exchange Server et Autorisations des fonctionnalités dans Exchange Online.

Autorisations d'administrateur

Par défaut, l’utilisateur qui a été utilisé pour créer le Office 365 organization est fait membre du groupe de rôles Gestion de l’organisation dans le Exchange Online organization. Cet utilisateur peut gérer l’ensemble du Exchange Online organization, y compris la configuration des paramètres de niveau organization et la gestion des destinataires Exchange Online.

Vous pouvez ajouter d’autres administrateurs dans le Exchange Online organization, en fonction de la gestion qui doit avoir lieu. Par exemple, vous pouvez ajouter d’autres administrateurs organization et administrateurs de destinataires, permettre aux utilisateurs spécialisés d’effectuer des tâches de conformité telles que la découverte, configurer des autorisations personnalisées, etc. Toutes les Exchange Online gestion des autorisations pour les administrateurs Microsoft 365 et Office 365 doivent être effectuées dans le Exchange Online organization à l’aide du Centre d’administration Exchange (EAC) ou Exchange Online PowerShell.

Importante

Il n’existe aucun transfert d’autorisations entre le organization local et Microsoft 365 ou Office 365 organization. Les autorisations que vous avez définies dans le organization local doivent être recrées dans Microsoft 365 ou Office 365 organization.

Pour plus d'informations, consultez les rubriques Manage Role Groups et Manage Role Group Members.

Octroi d’autorisations de boîte aux lettres à des délégués

Dans les déploiements Exchange locaux, différentes autorisations sont accordées aux utilisateurs sur les boîtes aux lettres d’autres utilisateurs. Il s’agit d’autorisations de boîte aux lettres déléguées qui sont utiles lorsqu’un assistant administratif doit gérer une partie de la boîte aux lettres d’un autre utilisateur, par exemple, gérer le calendrier d’un cadre. Les déploiements Exchange hybrides prennent en charge l’utilisation de certaines autorisations de boîte aux lettres, mais pas toutes, entre les boîtes aux lettres situées dans un organization Exchange local et les boîtes aux lettres situées dans Microsoft 365 ou Office 365. Les sections suivantes détaillent les autorisations qui sont et ne sont pas prises en charge ; autres configurations requises pour prendre en charge les autorisations de boîte aux lettres hybrides ; et comment les autorisations de boîte aux lettres sont synchronisées entre votre organization local et Microsoft 365 ou Office 365.

Autorisations de boîte aux lettres dans les environnements hybrides

Toutes les autorisations de boîte aux lettres ne sont pas entièrement prises en charge dans un environnement hybride Exchange.

Autorisations de boîtes aux lettres prises en charge dans des environnements hybrides

  • Accès total : une boîte aux lettres sur un serveur Exchange local peut se voir accorder l’autorisation Accès total à une boîte aux lettres Microsoft 365 ou Office 365, et vice versa. Par exemple, une boîte aux lettres Microsoft 365 ou Office 365 peut se voir accorder l’autorisation Accès total à une boîte aux lettres partagée locale. Les utilisateurs doivent ouvrir la boîte aux lettres à l’aide du client de bureau Outlook. Les autorisations de boîte aux lettres intersite ne sont pas entièrement prises en charge dans Outlook sur le web. Les utilisateurs peuvent utiliser Ouvrir une autre boîte aux lettres dans Outlook sur le web pour ouvrir d’autres boîtes aux lettres pour lesquelles ils disposent de l’autorisation Accès total. Toutefois, cela génère un lien de redirection et une invite d’informations d’identification avant que l’utilisateur puisse accéder à la boîte aux lettres.

    Remarque

    Les utilisateurs peuvent recevoir des invites d’informations d’identification supplémentaires lorsqu’ils accèdent pour la première fois à une boîte aux lettres qui se trouve dans l’autre organization et l’ajoutent à leur profil Outlook.

  • Envoyer de la part de : une boîte aux lettres sur un serveur Exchange local peut se voir accorder l’autorisation Envoyer de la part d’une boîte aux lettres Microsoft 365 ou Office 365, et vice versa. Par exemple, une boîte aux lettres Microsoft 365 ou Office 365 peut se voir accorder l’autorisation Envoyer de la part d’une boîte aux lettres partagée locale. Les utilisateurs doivent ouvrir la boîte aux lettres à l’aide du client de bureau Outlook . Les autorisations de boîte aux lettres intersite ne sont pas prises en charge dans Outlook sur le web.

    Certaines modifications sont nécessaires sur votre serveur Microsoft Entra Connect pour les autorisations Envoyer de la part pour synchroniser entre vos serveurs Exchange locaux et Exchange Online. Pour plus d’informations, consultez la section Activation de la prise en charge des autorisations de boîte aux lettres hybrides dans Microsoft Entra Connect plus loin dans cet article.

  • Éléments privés : lorsque vous accordez l’autorisation Accès total à une boîte aux lettres, vous pouvez décider d’autoriser le délégué à voir les éléments privés (réunions privées, rendez-vous, contacts ou tâches) dans la boîte aux lettres.

    Pour partager des éléments privés avec un délégué, utilisez la procédure suivante dans Outlook :

    1. Accédez à Paramètresdu compte>de fichier>- Déléguer l’accès

      Paramètre d’accès délégué dans Outlook.

    2. Dans la fenêtre suivante, cliquez sur Ajouter. Un nouveau menu s’affiche pour répertorier les personnes de votre organization. Sélectionnez un délégué, puis cliquez sur OK.

    3. L’image suivante s’affiche, où vous pouvez cocher la case associée pour partager des éléments privés avec un délégué.

      Le délégué peut voir le paramètre mes éléments privés dans Outlook.

Pour plus d’informations, consultez Vue d’ensemble de la délégation dans un environnement hybride Office 365.

Autorisations et fonctionnalités de boîte aux lettres NON prises en charge dans les environnements hybrides

  • Envoyer en tant que : permet à un utilisateur d’envoyer des messages comme s’ils proviennent de la boîte aux lettres d’un autre utilisateur. Microsoft Entra Connect ne synchronise pas automatiquement l’autorisation Envoyer en tant que entre Exchange local et Microsoft 365 ou Office 365. Les autorisations Envoyer en tant que sur site ne sont donc pas prises en charge. Toutefois, l’option Envoyer en tant que fonctionne dans la plupart des scénarios si vous ajoutez manuellement les autorisations Envoyer en tant que dans les deux environnements, à l’aide d’Exchange Management Shell pour Exchange local et Exchange Online PowerShell pour Microsoft 365 ou Office 365.

    Par exemple, vous souhaitez accorder l’autorisation Envoyer en tant que pour une boîte aux lettres locale nommée ONPREM1 à une boîte aux lettres cloud nommée EXO1.

    Exécutez la commande suivante dans Exchange Management Shell sur votre serveur Exchange local :

    Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
    

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Add-ADPermission.

Exécutez ensuite la commande correspondante dans Exchange Online PowerShell :

Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Add-RecipientPermission.

Remarque

L’autorisation Envoyer en tant que est également nécessaire pour se conformer aux exigences du serveur Exchange local et de Microsoft Entra Connect dans les deux sections suivantes.

  • Mappage automatique : permet à Outlook d’ouvrir automatiquement toutes les boîtes aux lettres auxquelles un utilisateur a obtenu un accès complet au démarrage. (Notez que le mappage automatique fonctionne uniquement pour les utilisateurs individuels disposant des autorisations appropriées et ne fonctionne pour aucun type de groupe.)

  • Autorisations de dossier : accorde l’accès au contenu d’un dossier particulier.

Les boîtes aux lettres qui reçoivent ces autorisations à partir d’une autre boîte aux lettres doivent être déplacées en même temps que cette boîte aux lettres. Si une boîte aux lettres reçoit des autorisations à partir de plusieurs boîtes aux lettres, cette boîte aux lettres et toutes les boîtes aux lettres lui octroyant des autorisations doivent être déplacées simultanément. Pour plus d’informations, consultez https://support.microsoft.com/help/3064053.

Configurer vos serveurs Exchange locaux pour prendre en charge les autorisations de boîtes aux lettres hybrides

Pour activer les autorisations Accès total et Envoyer de la part dans un déploiement hybride, d’autres modifications de configuration peuvent être nécessaires en fonction de la version d’Exchange que vous avez installée. Le tableau suivant indique quelles versions d’Exchange prennent en charge les autorisations de boîte aux lettres déléguées dans un déploiement hybride avec Microsoft 365 ou Office 365 et quelle configuration supplémentaire est nécessaire. Pour savoir comment configurer les serveurs et boîtes aux lettres Exchange 2013 et 2010 pour prendre en charge des listes de contrôle d’accès (ACL), consultez la rubrique Configure Exchange to support delegated mailbox permissions in a hybrid deployment.

Version d’Exchange Conditions préalables
Exchange 2016 Activez la synchronisation d’objets aclable au niveau organization.
Activez manuellement les listes de contrôle d’accès sur chaque boîte aux lettres déplacée vers Microsoft 365 ou Office 365 avant l’activation de la synchronisation d’objets aclable au niveau organization.
Aucune configuration supplémentaire n’est nécessaire pour les boîtes aux lettres déplacées vers Microsoft 365 ou Office 365 après l’activation de la synchronisation d’objets acLable au niveau organization.
Exchange 2013 Les serveurs Exchange 2013 nécessitent les éléments suivants :
  • La dernière mise à jour cumulative (CU) ou immédiatement antérieure. Les serveurs Exchange 2013 fonctionnant avec les anciennes mises à jour cumulatives ne sont pas pris en charge et peuvent ne pas fonctionner avec des autorisations de boîtes aux lettres déléguées dans un déploiement hybride.
  • Le organization Exchange est configuré pour autoriser l’horodatage des listes de contrôle d’accès (ACL) sur les objets de messagerie et la synchronisation avec Microsoft 365 ou Office 365.
  • Les boîtes aux lettres distantes locales associées aux boîtes aux lettres déplacées vers Microsoft 365 ou Office 365 avant Exchange 2013 CU10 doivent être configurées manuellement pour prendre en charge les listes de contrôle d’accès. Les boîtes aux lettres à distance, créées sur les serveurs fonctionnant avec la CU10 Exchange 2013 ou ultérieure, et après que l’organisation Exchange a été configurée pour autoriser les ACL, sont configurées automatiquement.
Exchange 2010 N’est plus pris en charge.
Auparavant, les boîtes aux lettres distantes locales associées à Microsoft 365 ou aux boîtes aux lettres Office 365 devaient être configurées pour prendre en charge les listes de contrôle d’accès. Cette opération devait être effectuée pour chaque boîte aux lettres distante locale associée à une boîte aux lettres Microsoft 365 ou Office 365.
Exchange 2007 ou une version antérieure Non prise en charge.

Activation de la prise en charge des autorisations de boîte aux lettres hybrides dans Microsoft Entra Connect

En plus de configurer vos serveurs Exchange locaux, vous devez également vous assurer que Microsoft Entra serveur Connect (Microsoft Entra Connect) est configuré pour synchroniser les autorisations de boîte aux lettres hybrides. Voici ce que vous devez faire pour vous assurer que votre serveur Microsoft Entra Connect est prêt à prendre en charge ces autorisations :

  • Mettre à niveau Microsoft Entra Connect : Microsoft Entra Connect doit être mis à niveau vers au moins la version 1.1.553.0. Vous pouvez télécharger la dernière version de Microsoft Entra Connect à partir de Microsoft Entra Connect.

  • Activer Exchange Hybrid dans Microsoft Entra Connect : pour synchroniser les attributs qui activent les autorisations de boîte aux lettres hybrides (en particulier l’autorisation Envoyer de la part), vous devez vous assurer que l’option de configuration de déploiement hybride Exchange est activée dans Microsoft Entra Connect. Pour plus d’informations sur la façon d’exécuter à nouveau l’Assistant Installation de Microsoft Entra Connect pour mettre à jour sa configuration, case activée Microsoft Entra Connect Sync : Exécution de l’Assistant Installation une deuxième fois

Autorisations d'utilisateur final

Comme avec les autorisations d’administrateur, les utilisateurs finaux dans Exchange Online peuvent se voir accorder des autorisations. Par défaut, les utilisateurs finaux peuvent se voir accorder des autorisations via la stratégie d'attribution de rôle par défaut. Cette stratégie est appliquée à chaque boîte aux lettres dans le Exchange Online organization. Si les autorisations accordées par défaut sont suffisantes, il n'est pas nécessaire d'effectuer des modifications.

Si vous souhaitez personnaliser les autorisations des utilisateurs finaux, vous pouvez soit modifier la stratégie d’attribution de rôle par défaut existante, soit créer de nouvelles stratégies d’attribution. Si vous créez de nombreuses stratégies d'attribution de rôle, vous pouvez attribuer différentes stratégies à différents groupes de boîtes aux lettres, ce qui vous permet de contrôler les autorisations accordées à chaque groupe en fonction de leurs besoins. Toute la gestion des autorisations pour Exchange Online utilisateurs finaux doit être effectuée dans le Exchange Online organization à l’aide du CENTRE d’administration Exchange ou de Exchange Online PowerShell.

Comme les autorisations d’administrateur, les autorisations des utilisateurs finaux ne sont pas transférées entre le organization local et le Exchange Online organization. Toutes les autorisations que vous avez définies dans le organization local doivent être recrées dans le Exchange Online organization.

Pour plus d'informations, consultez les rubriques Manage Role Assignment Policies et Change the Assignment Policy on a Mailbox.

Le tableau suivant répertorie les autorisations accordées par les stratégies d’attribution de rôle par défaut dans le Exchange Online organization.

Rôle de gestion Description
MyTeamMailboxes Le MyTeamMailboxes rôle de gestion permet aux utilisateurs individuels de créer des boîtes aux lettres de site et de les connecter à des sites Microsoft SharePoint.
My Marketplace Apps Le My Marketplace Apps rôle de gestion permet aux utilisateurs individuels d’afficher et de modifier leurs applications de la Place de marché Microsoft Office.
MyBaseOptions Le MyBaseOptions rôle de gestion permet aux utilisateurs individuels d’afficher et de modifier la configuration de base de leur propre boîte aux lettres et des paramètres associés.
MyContactInformation Le MyContactInformation rôle de gestion permet aux utilisateurs individuels de modifier leurs informations de contact, y compris l’adresse et les numéros de téléphone.
MyDistributionGroupMembership Le MyDistributionGroupMembership rôle de gestion permet aux utilisateurs individuels d’afficher et de modifier leur appartenance à des groupes de distribution dans un organization, si ces groupes de distribution autorisent la manipulation de l’appartenance au groupe.
MyDistributionGroups Le MyDistributionGroups rôle de gestion permet à des utilisateurs individuels de créer, de modifier et d’afficher des groupes de distribution, ainsi que de modifier, d’afficher, de supprimer et d’ajouter des membres aux groupes de distribution dont ils sont propriétaires.
MyMailSubscription Le MyMailSubscription rôle permet aux utilisateurs individuels d’afficher et de modifier leurs paramètres d’abonnement par courrier électronique, tels que le format de message et les paramètres par défaut du protocole.
MyProfileInformation Le MyProfileInformation rôle de gestion permet aux utilisateurs individuels de modifier leur nom.
MyRetentionPolicies Le MyRetentionPolicies rôle de gestion permet aux utilisateurs individuels d’afficher leurs balises de rétention, ainsi que d’afficher et de modifier leurs paramètres de balise de rétention et leurs valeurs par défaut.
MyTextMessaging Le MyTextMessaging rôle de gestion permet aux utilisateurs individuels de créer, d’afficher et de modifier leurs paramètres de messagerie texte.
MyVoiceMail Le MyVoiceMail rôle de gestion permet aux utilisateurs individuels d’afficher et de modifier leurs paramètres de messagerie vocale.
Mes applications ReadWriteMailbox Le My ReadWriteMailbox Apps rôle de gestion permet aux utilisateurs d’installer des applications avec des autorisations ReadWriteMailbox.
Mes applications personnalisées Le My Custom Apps rôle de gestion permet aux utilisateurs d’afficher et de modifier leurs applications personnalisées.